Mit dieser Aufgabe aktivieren Sie den sicheren geprüften Startvorgang über die Oracle ILOM-CLI. Alternativ können Sie die Oracle ILOM-Weboberfläche verwenden. Siehe Sicherer geprüfter Startvorgang (Oracle ILOM-Weboberfläche).
Geprüfter Startvorgang bezieht sich auf die Prüfung von Objektmodulen vor der Ausführung mittels digitalen Signaturen. Oracle Solaris schützt vor dem Laden von Rogue Kernel-Modulen. Der geprüfte Startvorgang erhöht die Sicherheit und Robustheit von Oracle Solaris, indem Kernel-Module vor der Ausführung geprüft werden.
Wenn er aktiviert ist, überprüft dieser Oracle Solaris-Startvorgang die werksseitige Signatur in einem Kernel-Modul, bevor das Modul geladen und ausgeführt wird. Bei dieser Prüfung wird eine versehentliche oder böswillige Änderung eines Moduls ermittelt. Die ergriffene Maßnahme kann konfiguriert werden; wenn sie aktiviert ist, wird entweder eine Warnmeldung ausgegeben und mit dem Laden und Ausführen des Moduls fortgefahren, oder der Vorgang verläuft nicht erfolgreich und das Modul wird nicht geladen und nicht ausgeführt.
Siehe Anmelden bei einem Rechenserver und Ändern des Standardpasswortes.
-> set /HOST/verified_boot/ module_policy=enforce Set 'module_policy' to 'enforce'
Eine vorinstallierte geprüfte Startzertifikatsdatei, /etc/certs/ORCLS11SE, wird als Teil von Oracle ILOM bereitgestellt.
# more /etc/certs/ORCLS11SE -----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----
-> set /HOST/verified_boot/user_certs/1 load_uri=console
Speichern und verarbeiten Sie die Informationen mit Strg-z.
Mit Strg-c beenden Sie den Vorgang und verwerfen die Änderungen.
-----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----^Z Load successful.
-> show /HOST/verified_boot/user_certs/1/ /HOST/verified_boot/user_certs/1 Targets: Properties: clear_action = (Cannot show property) issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual Subscriber CA/CN=Object Signing CA load_uri = (Cannot show property) subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11 valid_from = Mar 1 00:00:00 2012 GMT valid_until = Mar 1 23:59:59 2015 GMT Commands: cd load reset show ->
Wenn Sie den geprüften Startvorgang verwenden, muss der OBP-Parameter use-nvram auf False festgelegt sein. Dadurch wird verhindert, dass OBP geändert wird, um das geprüfte Startverfahren zu deaktivieren. Der Standardwert ist False. Melden Sie sich bei Oracle Solaris an, und geben Sie Folgendes ein:
$ /usr/sbin/eeprom/eeprom use-nvramrc? use-nvramrc?=false